本發明涉及一種虛擬化環境中的windows內核基地址及編譯版本識別方法，基于虛擬機反省技術的內核定位是以虛擬機反省技術為基礎，分析出當前操作系統使用的內存架構和當前虛擬機內核空間地址對應的物理內存；以內存頁為單位讀取PE文件信息，分析屬于內核空間的物理內存頁，判斷頁開始是否為可執行文件的魔數“MZ”；基于PE結構分析的加載鏡像識別是根據所述的基于虛擬機反省技術的內核定位步驟中定位的PE起始地址，獲取鏡像調試段數據；通過對內存中調試信息段的分析獲取在編譯時生成的調試文件名稱和PE文件唯一編譯標示。本發明的有益效果是：穩定的獲取開啟內存地址空間隨機化的Windows虛擬機內核基地址；實現了獲取Windows虛擬機運行操作系統的詳細編譯版本。

技術領域

本發明涉及一種通過虛擬機內存反省技術獲取虛擬機中相關信息的方法，具體的涉及一種虛擬化環境中的windows內核基地址及編譯版本識別方法，屬于計算機應用領域。

背景技術

在虛擬化環境中，可以通過虛擬機反省技術方式獲取虛擬機的內存數據，通過對內存數據的分析可以獲取虛擬機運行信息。在分析虛擬機運行信息時，首先要獲取其內核基地址，目前大多方法都是基于啟發式地嘗試不同Windows版本的基地址。而在Windows NT6.0（Windows Vista）以后的版本中系統引入了內存空間地址隨機化，使得每次啟動內核加載的基地址都不一樣。這使得原有的方法都無法用在高版本的Windows操作系統上。同時，內存分析需要結合符號表進行，不同的編譯版本對應不同的符號表，同一個基礎內核版本（如Windows 7）對應著幾十個編譯版本。而現有的技術大多使用數據分析的方式，根據結構體的特性判斷操作系統版本，該類只能獲取基礎版本，無法獲取準確的編譯版本。

為此，如何提供一種實現在虛擬機化環境中穩定地獲取虛擬機中任意Windows版本的虛擬機的內核基地址和其準確的內核編譯版本的識別方法，是本發明研究的目的所在。

發明內容

為解決現有技術的不足，本發明提供一種虛擬化環境中的windows內核基地址及編譯版本識別方法，穩定地獲取開啟內存地址空間隨機化的Windows虛擬機內核基地址；實現了獲取Windows虛擬機運行操作系統的詳細編譯版本，幫助建立內核文件與符號信息的一一對應。

為解決現有技術問題，本發明所采用的技術方案是：一種虛擬化環境中的windows內核基地址及編譯版本識別方法，包括基于虛擬機反省技術的內核定位和基于PE結構分析的加載鏡像識別兩個部分；所述的基于虛擬機反省技術的內核定位是以虛擬機反省技術為基礎，開始狀態下讀取CR4寄存器數據，獲取當前內存分頁結構；所述的內存分頁結構包括虛擬機的部分寄存器和內存數據；以這些數據為基礎讀取CR3寄存器數據，獲取當前內核空間對應物理地址范圍；從內核空間低地址開始，假設其為PE文件起始地址，分析出當前操作系統使用的內存架構（32位模式、32e模式或64位模式）和當前虛擬機內核空間地址對應的物理內存；之后從PE文件起始地址開始，以內存頁為單位讀取PE文件信息，分析屬于內核空間的物理內存頁，判斷DOS前兩個字節是否為魔數“MZ”，即判斷頁開始是否為可執行文件的魔數“MZ”；如果是則判定該頁起始地址為鏡像加載的起始地址，否則以頁為單位自增PE文件起始地址后進入重新以頁為單位讀取PE文件信息狀態。

所述的基于PE結構分析的加載鏡像識別是根據所述的基于虛擬機反省技術的內核定位步驟中定位的PE起始地址，獲取鏡像調試段IMAGE_DEBUG_DIRECTORY數據，讀取IMAGE_DEBUG_TYPE_CODEVIEW數據段信息并分析其PE頭及調試信息段；通過對內存中調試信息段的分析獲取在編譯時生成的調試文件名稱和PE文件唯一編譯標示。

進一步的，所述的內存分頁結構包括虛擬機的部分寄存器和內存數據。